Развертывание систем управления мобильными устройствами

В этом разделе описано развертывание систем управления мобильных устройств по протоколам Exchange ActiveSync, iOS MDM и Kaspersky Endpoint Security.

Развертывание системы управления по протоколу Exchange ActiveSync

Kaspersky Security Center позволяет управлять мобильными устройствами, которые подключаются к Серверу администрирования по протоколу Exchange ActiveSync. Мобильными устройствами Exchange ActiveSync (EAS-устройствами) называются мобильные устройства, подключенные к Серверу мобильных устройств Exchange ActiveSync и находящиеся под управлением Сервера администрирования.

Протокол Exchange ActiveSync поддерживает следующие операционные системы:

• Windows Phone 8.
• Windows Phone 8.1.
• Windows 10 Mobile.
• Android. 
• iOS.

Набор параметров управления устройством Exchange ActiveSync зависит от операционной системы, под управлением которой находится мобильное устройство. С особенностями поддержки протокола Exchange ActiveSync для конкретной операционной системы можно ознакомиться в документации для этой операционной системы.

Развертывание системы управления мобильными устройствами по протоколу Exchange ActiveSync выполняется в следующей последовательности:

1. Администратор устанавливает на выбранное клиентское устройство Сервер мобильных устройств Exchange ActiveSync.
2. Администратор создает в Консоли администрирования профиль (профили) управления EAS-устройствами и добавляет профиль к почтовым ящикам пользователей Exchange ActiveSync.

   Профиль управления мобильными устройствами Exchange ActiveSync – это политика ActiveSync, которая используется на сервере Microsoft Exchange для управления мобильными устройствами Exchange ActiveSync. Почтовому ящику Microsoft Exchange может быть назначен только один профиль управления EAS-устройствами.

   Пользователи мобильных EAS-устройств подключаются к своим почтовым ящикам Exchange. Профиль управления накладывает ограничения на мобильные устройства.

Установка Сервера мобильных устройств Exchange ActiveSync

Сервер мобильных устройств Exchange ActiveSync устанавливается на клиентское устройство с установленным сервером Microsoft Exchange. Рекомендуется устанавливать Сервер мобильных устройств Exchange ActiveSync на сервер Microsoft Exchange с ролью Client Access. Если в одном домене несколько серверов Microsoft Exchange с ролью Client Access объединены в массив (Client Access Array), то рекомендуется устанавливать Сервер мобильных устройств Exchange ActiveSync в режиме кластера на каждый сервер Microsoft Exchange в массиве.

Чтобы установить Сервер мобильных устройств Exchange ActiveSync на локальном устройстве:

1. Запустите исполняемый файл setup.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки.

2. В окне с выбором программ по ссылке Установить Сервер мобильных устройств Exchange ActiveSync запустите мастер установки Сервера мобильных устройств Exchange ActiveSync.
3. В окне Настройка установки выберите тип установки Сервера мобильных устройств Exchange ActiveSync:
   • Если вы хотите установить Сервер мобильных устройств Exchange ActiveSync с использованием параметров по умолчанию, выберите вариант Стандартная установка и нажмите на кнопку Далее.
   • Если вы хотите задать вручную значения параметров установки Сервера мобильных устройств Exchange ActiveSync, выберите вариант Расширенная установка и нажмите на кнопку Далее. Затем выполните следующие действия:
     1. В окне Папка назначения выберите папку назначения. По умолчанию это <Диск>:\Program Files\Kaspersky Lab\Mobile Device Management for Exchange. Если такой папки нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.
     2. В окне Режим установки выберите режим установки Сервера мобильных устройств Exchange ActiveSync: обычный режим или режим кластера.
     3. В окне Выбор учетной записи выберите учетную запись, которая будет использоваться для управления мобильными устройствами:
        • Создать учетную запись и ролевую группу автоматически. Учетная запись будет создана автоматически.
        • Задать учетную запись. Учетную запись следует выбрать вручную. Нажмите на кнопку Обзор, чтобы выбрать пользователя, учетная запись которого будет использоваться, и укажите пароль. Выбранный пользователь должен входить в группу с правами на управление мобильными устройствами через ActiveSync.
     4. В окне Настройка IIS разрешите или запретите автоматическую настройку параметров веб-сервера Internet Information Services (IIS).

        Если вы запретили автоматическую настройку параметров IIS, включите вручную механизм аутентификации "Windows authentication" в параметрах IIS для виртуальной директории PowerShell. Если механизм аутентификации "Windows authentication" не будет включен, установленный Сервер мобильных устройств Exchange ActiveSync будет неработоспособен. Информацию о работе с параметрами IIS можно прочитать в документации для этого веб-сервера.

     5. Нажмите Далее.
4. В открывшемся окне проверьте значения параметров установки Сервера мобильных устройств Exchange ActiveSync и нажмите на кнопку Установить.

В результате работы мастера будет выполнена установка Сервера мобильных устройств Exchange ActiveSync на локальное устройство. Сервер мобильных устройств Exchange ActiveSync будет отображаться в папке Управление мобильными устройствами дерева консоли.

Подключение мобильных устройств к Серверу мобильных устройств Exchange ActiveSync

Перед подключением мобильных устройств должен быть настроен Microsoft Exchange Server для возможности соединения устройств по протоколу ActiveSync.

Чтобы подключить мобильное устройство к Серверу мобильных устройств Exchange ActiveSync, пользователь с мобильного устройства подключается к своему почтовому ящику Microsoft Exchange, используя ActiveSync. При подключении пользователь в клиенте ActiveSync должен указать параметры подключения, например, адрес электронной почты, пароль электронной почты.

Мобильное устройство пользователя, подключенное к серверу Microsoft Exchange, отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

После подключения мобильного устройства Exchange ActiveSync к Серверу мобильных устройств Exchange ActiveSync администратор может управлять подключенным мобильным устройством Exchange ActiveSync.

Настройка веб-сервера Internet Information Services

При использовании Microsoft Exchange Server версий 2010 и 2013 в настройках веб-сервера Internet Information Services (IIS) необходимо активировать механизм аутентификации Windows для виртуальной директории Windows PowerShell. Активация этого механизма аутентификации выполняется автоматически, если в мастере установки Сервера мобильных устройств Exchange ActiveSync выбран параметр Настроить Microsoft Internet Information Services (IIS) автоматически (поведение по умолчанию).

В противном случае необходимо активировать механизм аутентификации самостоятельно.

Чтобы активировать механизм аутентификации Windows для виртуальной директории PowerShell вручную:

1. В консоли Internet Information Services Manager откройте свойства виртуальной директории PowerShell.
2. Перейдите в раздел Authentication.
3. Выберите Microsoft Windows Authentication и нажмите на кнопку Enable.
4. Откройте дополнительные параметры Advanced Settings.
5. Выберите параметр Enable Kernel-mode authentication.
6. В раскрывающемся списке Extended protection выберите Required.

При использовании Microsoft Exchange Server версии 2007 настройка веб-сервера IIS не требуется.

Локальная установка Сервера мобильных устройств Exchange ActiveSync

Для локальной установки Сервера мобильных устройств Exchange ActiveSync администратор должен выполнить следующие действия:

1. Из дистрибутива Kaspersky Security Center скопировать содержимое папки \Server\Packages\MDM4Exchange\ на клиентское устройство.
2. Запустите исполняемый файл setup.exe.

Локальная установка подразумевает два типа инсталляции:

• Стандартная установка – упрощенная установка, не требующая со стороны администратора настройки каких-либо параметров, рекомендуется в большинстве случаев.
• Расширенная установка – установка, требующая от администратора настройки следующих параметров:
  • путь для установки Сервера мобильных устройств Exchange ActiveSync;
  • режим работы Сервера мобильных устройств Exchange ActiveSync: обычный или в режиме кластера;
  • возможность указания учетной записи, под которой будет работать служба Сервера мобильных устройств Exchange ActiveSync;
  • включение / выключение автоматической настройки веб-сервера IIS.

Мастер установки Сервера мобильных устройств Exchange ActiveSync следует запускать под учетной записью, обладающей необходимыми правами.

Удаленная установка Сервера мобильных устройств Exchange ActiveSync

Для настройки удаленной установки Сервера мобильных устройств Exchange ActiveSync администратор должен выполнить следующие действия:

1. В дереве Консоли администрирования Kaspersky Security Center выбрать папку Удаленная установка, в ней вложенную папку Инсталляционные пакеты.
2. Во вложенной папке Инсталляционные пакеты открыть свойства пакета Сервер мобильных устройств Exchange ActiveSync.
3. Перейти в раздел Параметры.

   В разделе содержатся те же параметры, что и для локальной установки программы.

После настройки удаленной установки можно приступить к установке Сервера мобильных устройств Exchange ActiveSync.

Для установки Сервера мобильных устройств Exchange ActiveSync необходимо выполнить следующие действия:

1. В дереве Консоли администрирования Kaspersky Security Center выбрать папку Удаленная установка, в ней вложенную папку Инсталляционные пакеты.
2. Во вложенной папке Инсталляционные пакеты выбрать пакет Сервер мобильных устройств Exchange ActiveSync.
3. Открыть контекстное меню пакета и выбрать пункт Установить программу.
4. В открывшемся мастере удаленной установки выбрать одно устройство (или несколько устройств при установке в режиме кластера).
5. В поле Запускать мастер установки под указанной учетной записью указать учетную запись, под которой будет запущен процесс установки на удаленном устройстве.

   Учетная запись должна обладать необходимыми правами.

Развертывание системы управления по протоколу iOS MDM

Kaspersky Security Center позволяет управлять мобильными устройствами на платформе iOS. Мобильными устройствами iOS MDM называются мобильные устройства iOS, подключенные к Серверу iOS MDM и находящиеся под управлением Сервера администрирования.

Подключение мобильных устройств к Серверу iOS MDM выполняется в следующей последовательности:

1. Администратор устанавливает на выбранное клиентское устройство Сервер iOS MDM. Установка Сервера iOS MDM выполняется штатными средствами операционной системы.
2. Администратор получает сертификат Apple Push Notification Service (APNs-сертификат).

   APNs-сертификат позволяет Серверу администрирования подключаться к серверу APNs для отправки push-уведомлений на мобильные устройства iOS MDM.

3. Администратор устанавливает на Сервере iOS MDM APNs-сертификат.
4. Администратор формирует iOS MDM-профиль для пользователя мобильного устройства iOS.

   iOS MDM-профиль содержит набор параметров подключения мобильных устройств iOS к Серверу администрирования.

5. Администратор выписывает пользователю общий сертификат.

   Общий сертификат необходим для подтверждения того, что мобильное устройство принадлежит пользователю.

6. Пользователь переходит по ссылке, высланной администратором, и загружает инсталляционный пакет на мобильное устройство.

   Инсталляционный пакет содержит сертификат и iOS MDM-профиль.

   После загрузки iOS MDM-профиля и синхронизации с Сервером администрирования мобильное устройство iOS MDM отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

7. Администратор добавляет конфигурационный профиль на Сервер iOS MDM и после подключения мобильного устройства устанавливает на него конфигурационный профиль.

   Конфигурационный профиль содержит набор параметров и ограничений для мобильного устройства iOS MDM, например, параметры установки приложений и использования различных функций устройства, параметры работы с электронной почтой и календарем. Конфигурационный профиль позволяет настраивать мобильные устройства iOS MDM в соответствии с политиками безопасности организации.

8. При необходимости администратор добавляет на Сервер iOS MDM provisioning-профили, а затем устанавливает provisioning-профили на мобильные устройства.

   Provisioning-профиль – это профиль, который используется для управления приложениями, распространяемыми не через App Store. Provisioning-профиль содержит информацию о лицензии и привязан к конкретному приложению.

Инсталляция Сервера iOS MDM

Чтобы установить Сервер iOS MDM на локальное устройство:

1. Запустите исполняемый файл setup.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки.

   В окне с выбором программ по ссылке Установить Сервер iOS MDM запустите мастер установки Сервера iOS MDM.

2. Выберите папку назначения.

   Папка назначения по умолчанию <Диск>:\Program Files\Kaspersky Lab\Mobile Device Management for iOS. Если такой папки нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.

3. В окне мастера Параметры подключения к Серверу iOS MDM в поле Внешний порт подключения к службе iOS MDM укажите внешний порт для подключения мобильных устройств к службе iOS MDM.

   Внешний порт 5223 используется мобильными устройствами для связи с APNs-сервером. Убедитесь, что в сетевом экране открыт порт 5223 для подключения к диапазону адресов 17.0.0.0/8.

   Для подключения устройства к Серверу iOS MDM по умолчанию используется порт 443. Если порт 443 уже используется другим сервисом или приложением, то его можно изменить, например, на порт 9443.

   Сервер iOS MDM использует внешний порт 2197 для отправки уведомлений на APNs-сервер.

   APNs-серверы работают в режиме сбалансированной нагрузки. Мобильные устройства не всегда подключаются к одним и тем же IP-адресам для получения уведомлений. Диапазон адресов 17.0.0.0/8 назначен компании Apple, поэтому рекомендуется указать весь этот диапазон как разрешенный в параметрах сетевого экрана.

4. Если вы хотите вручную настроить порты для взаимодействия между компонентами программы, выберите параметр Настроить локальные порты вручную, а затем укажите значения следующих параметров:
   • Порт подключения к Агенту администрирования. Укажите в поле порт подключения службы iOS MDM к Агенту администрирования. По умолчанию установлен порт 9799.
   • Локальный порт подключения к службе iOS MDM. Укажите в поле локальный порт подключения Агента администрирования к службе iOS MDM. По умолчанию установлен порт 9899.

   Рекомендуется использовать значения по умолчанию.

5. В окне мастера Внешний адрес Сервера мобильных устройств в поле Веб-адрес удаленного соединения с Сервером мобильных устройств укажите адрес клиентского устройства, на котором будет установлен Сервер iOS MDM.

   Этот адрес будет использоваться для подключения управляемых мобильных устройств к службе iOS MDM. Клиентское устройство должно быть доступно для подключения к нему iOS MDM-устройств.

   Вы можете указать адрес клиентского устройства в одном из следующих форматов:

   • FQDN-имя устройства (например, mdm.example.com);
   • NetBIOS-имя устройства.

   Не следует включать в строку с адресом URL-схему и номер порта: эти значения будут добавлены автоматически.

В результате работы мастера Сервер iOS MDM будет установлен на локальное устройство. Сервер iOS MDM отображается в папке Управление мобильными устройствами дерева консоли.

Установка Сервера iOS MDM в тихом режиме

Kaspersky Security Center позволяет устанавливать Сервер iOS MDM на локальное устройство в тихом режиме, то есть без интерактивного ввода параметров установки.

Чтобы установить Сервер iOS MDM на локальное устройство в тихом режиме:

1. Прочитайте Лицензионное соглашение. Используйте команду ниже, только если вы поняли и принимаете условия Лицензионного соглашения.
2. Выполните следующую команду:

   .\exec\setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 <setup_parameters>"

   где setup_parameters – перечень параметров и их значений, отделенных друг от друга пробелом (PROP1=PROP1VAL PROP2=PROP2VAL). Файл setup.exe расположен в папке Server внутри дистрибутива Kaspersky Security Center.

Имена и возможные значения параметров, которые можно использовать при установке Сервера iOS MDM в тихом режиме, приведены в таблице ниже. Параметры можно указывать в любом порядке.

Параметры установки Сервера iOS MDM в тихом режиме

Параметры установки Сервера iOS MDM подробно описаны в разделе "Установка Сервера iOS MDM".

Схемы развертывания Сервера iOS MDM

Количество установленных копий Сервера iOS MDM может быть выбрано как исходя из наличия доступного аппаратного обеспечения, так и в зависимости от общего количества обслуживаемых мобильных устройств.

Следует учесть, что на одну установку Kaspersky Device Management для iOS рекомендуется не более 50 000 мобильных устройств. С целью уменьшения нагрузки все множество устройств можно распределить между несколькими серверами с установленным Сервером iOS MDM.

Аутентификация iOS MDM-устройств осуществляется при помощи пользовательских сертификатов (профиль, устанавливаемый на устройство, содержит сертификат того пользователя, которому оно принадлежит). Поэтому возможны две схемы развертывания Сервера iOS MDM:

• упрощенная схема;
• схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD).

Упрощенная схема развертывания

При развертывании Сервера iOS MDM по упрощенной схеме мобильные устройства напрямую подключаются к веб-службе iOS MDM. При этом для аутентификации устройств могут быть использованы только пользовательские сертификаты, выпущенные Сервером администрирования. Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, PKI) для пользовательских сертификатов невозможна.

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Для использования схемы развертывания с принудительным делегированием Kerberos Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

• интеграция с обратным прокси-сервером;
• использование для аутентификации мобильных устройств принудительного делегирования Kerberos Constrained Delegation;
• интеграцию с инфраструктурой открытых ключей (PKI) для использования пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть следующее:

• В Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos constrained delegation.
• В качестве сертификата веб-службы iOS MDM следует указать особый (кастомизированный) сертификат, заданный на TMG при публикации на обратном прокси-сервере.
• Пользовательские сертификаты для iOS-устройств должны выписываться доменным Центром сертификации (Certification authority, далее CA). Если в домене несколько корневых CA, то пользовательские сертификаты должны быть выписаны CA, указанным при публикации веб-службы iOS MDM на обратном прокси-сервере.

  Обеспечить соответствие пользовательского сертификата указанному требованию возможно несколькими способами:

  • Указать пользовательский сертификат в мастере создания iOS MDM-профиля и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменным PKI и настроить соответствующий параметр в правилах выписки сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
    3. В разделе Интеграция с PKI настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выпуск мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

• веб-служба iOS MDM запущена на 443 порте;
• имя устройства с обратного прокси-сервера – firewall.mydom.local;
• имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
• имя внешней публикации веб-службой iOS MDM – iosmdm.mydom.global.

Service Principal Name для http/iosmdm.mydom.local

В домене требуется прописать Service Principal Name (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)

Для делегирования трафика можно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/iosmdm.mydom.local), администратору нужно выполнить следующие действия:

1. В оснастке Microsoft Management Console "Active Directory Users and Computers" выбрать устройство с установленным обратным прокси-сервером (firewall.mydom.local).
2. В свойствах устройства на закладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
3. В список Services to which this account can present delegated credentials добавить SPN http/iosmdm.mydom.local.

Особый (кастомизированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (кастомизированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (публичные части).

Публикации веб-службы iOS MDM на обратном прокси-сервере

На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 443 порт iosmdm.mydom.global, необходимо настроить KCD на SPN http/iosmdm.mydom.local с использованием сертификата, выписанного для FQDN iosmdm.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой веб-службе должен быть один и тот же серверный сертификат.

Получение APNs-сертификата

Если у вас уже есть APNs-сертификат, обновите его, вместо создания нового. При замене существующего APNs-сертификата на вновь созданный Сервер администрирования теряет управление над подключенными в данный момент мобильными устройствами iOS.

После создания запроса Certificate Signing Request (далее CSR-запрос) на первом шаге мастера получения APNs-сертификата приватная часть будущего сертификата (private key) сохраняется в оперативной памяти устройства. Поэтому все шаги мастера должны быть завершены в рамках одной сессии работы с программой.

Чтобы получить APNs-сертификат:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Запросить новый.

   Запустится мастер получения APNs-сертификата, откроется окно Запросить новый.

6. Создайте запрос Certificate Signing Request (далее CSR-запрос). Для этого выполните следующие действия:
   1. Нажмите на кнопку Создать CSR.
   2. В открывшемся окне Создание CSR укажите название запроса, название компании и департамента, город, область и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Приватная часть (private key) будущего сертификата будет сохранена в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на подпись в "Лабораторию Касперского" через ваш CompanyAccount.

   Подписание CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, разрешающего использование Управления мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, подписанный "Лабораторией Касперского".

8. Отправьте подписанный файл CSR-запроса на веб-сайт Apple Inc., используя произвольный Apple ID.

   Не рекомендуется использовать персональный Apple ID. Создайте отдельный Apple ID, чтобы использовать его как корпоративный. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите публичную часть APNs-сертификата. Сохраните полученный файл на диск.

9. Экспортируйте APNs-сертификат вместе с приватным ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого выполните следующие действия:
   1. В окне Запрос нового APNs-сертификата нажмите на кнопку Завершить CSR.
   2. В открывшемся окне Открыть выберите файл с публичной частью сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть.

      Запустится экспорт сертификата.

   3. В открывшемся окне введите пароль для приватного ключа, нажмите на кнопку ОК.

      Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

   4. В открывшемся окне Сохранение APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку, в которую он будет сохранен, и нажмите на кнопку Сохранить.

Приватная и публичная части сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX. После этого вы можете установить на Сервере iOS MDM APNs-сертификат.

Обновление APNs-сертификата

Чтобы обновить APNs-сертификат:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Обновить.

   Запустится мастер обновления APNs-сертификата, откроется окно Обновление APNs-сертификата.

6. Создайте запрос Certificate Signing Request (далее CSR-запрос). Для этого выполните следующие действия:
   1. Нажмите на кнопку Создать CSR.
   2. В открывшемся окне Создание CSR укажите название запроса, название компании и департамента, город, область и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Приватная часть (private key) будущего сертификата будет сохранена в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на подпись в "Лабораторию Касперского" через ваш CompanyAccount.

   Подписание CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, разрешающего использование Управления мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, подписанный "Лабораторией Касперского".

8. Отправьте подписанный файл CSR-запроса на веб-сайт Apple Inc., используя произвольный Apple ID.

   Не рекомендуется использовать персональный Apple ID. Создайте отдельный Apple ID, чтобы использовать его как корпоративный. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите публичную часть APNs-сертификата. Сохраните полученный файл на диск.

9. Запросите публичную часть сертификата. Для этого выполните следующие действия:
   1. Перейдите на портал Apple Push Certificates. Для авторизации на портале потребуется Apple Id, полученный при первичном запросе сертификата.
   2. В списке сертификатов выберите сертификат, APSP-имя которого (имя в формате "APSP: <номер>") совпадает с APSP-именем сертификата, используемого Сервером iOS MDM, и нажмите на кнопку Обновить.

      APNs-сертификат будет обновлен.

   3. Сохраните созданный порталом сертификат.
10. Экспортируйте APNs-сертификат вместе с приватным ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого выполните следующие действия:
    1. В окне Обновление APNs-сертификата нажмите на кнопку Завершить CSR.
    2. В открывшемся окне Открыть выберите файл с публичной частью сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть.

       Запустится экспорт сертификата.

    3. В открывшемся окне введите пароль для приватного ключа, нажмите на кнопку ОК.

       Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

    4. В открывшемся окне Обновление APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку, в которую он будет сохранен, и нажмите на кнопку Сохранить.

Приватная и публичная части сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX.

Настройка резервного сертификата Сервера iOS MDM

Функциональность Сервера iOS MDM позволяет выписать резервный сертификат. Этот сертификат предназначен для использования в iOS MDM-профилях, чтобы обеспечить переключение управляемых iOS-устройств после истечения срока действия сертификата Сервера iOS MDM.

Если ваш Сервер iOS MDM использует сертификат выданный "Лабораторией Касперского" по умолчанию, вы можете выпустить резервный сертификат (или указать свой собственный сертификат в качестве резервного) до истечения срока действия сертификата Сервера iOS MDM. По умолчанию резервный сертификат автоматически выпускается за 60 дней до истечения срока действия сертификата Сервера iOS MDM. Резервный сертификат Сервера iOS MDM становится основным сразу после истечения срока действия сертификата Сервера iOS MDM. Открытый ключ распространяется на все управляемые устройства через конфигурационные профили, поэтому вам не нужно передавать его вручную.

Чтобы выпустить резервный сертификат Сервера iOS MDM или указать пользовательский резервный сертификат:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В списке Серверов мобильных устройств выберите соответствующий Сервер iOS MDM и на правой панели нажмите на кнопку Настроить параметры Сервера iOS MDM.
3. В открывшемся окне свойств Сервера iOS MDM выберите раздел Сертификаты.
4. В блоке параметров Резервный сертификат выполните одно из следующих действий:
   • Если вы планируете и дальше использовать самоподписанный сертификат (то есть выписанный "Лабораторией Касперского"):
     1. Нажмите на кнопку Выпуск.
     2. В открывшемся окне Дата активации выберите один из двух вариантов даты, когда необходимо применить резервный сертификат:
        • Если вы хотите применить резервный сертификат в момент истечения срока действия текущего сертификата, выберите параметр Дата истечения срока действия текущего сертификата.
        • Если вы хотите применить резервный сертификат до истечения срока действия текущего сертификата, выберите параметр После указанного периода (сут). В поле ввода рядом с этим параметром укажите продолжительность периода, по истечении которого резервный сертификат должен заменить текущий сертификат.

        Срок действия указанного вами резервного сертификата не может превышать срок действия текущего сертификата Сервера iOS MDM.

     3. Нажмите на кнопку ОК.

     Резервный сертификат Сервера iOS MDM выпущен.

   • Если вы планируете использовать пользовательский сертификат, выпущенный доверенным центром сертификации:
     1. Нажмите на кнопку Добавить.
     2. В открывшемся окне проводника укажите файл сертификата в формате PEM, PFX или P12, который хранится на вашем устройстве, и нажмите на кнопку Открыть.

     Пользовательский сертификат указан как резервный сертификат Сервера iOS MDM.

Резервный сертификат Сервера iOS MDM указан. Подробная информация о резервном сертификате отображается в блоке параметров Резервный сертификат (название сертификата, название того, кто выписал сертификат, срок действия и дата применения резервного сертификата, если есть).

Установка APNs-сертификата на Сервер iOS MDM

После получения APNs-сертификата необходимо установить APNs-сертификат на Сервер iOS MDM.

Чтобы установить APNs-сертификат на Сервер iOS MDM:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Установить.
6. Выберите файл формата PFX, содержащий APNs-сертификат.
7. Введите пароль приватного ключа, указанный при экспорте APNs-сертификата.

В результате APNs-сертификат будет установлен на Сервер iOS MDM. Информация о сертификате будет отображаться в окне свойств Сервера iOS MDM в разделе Сертификаты.

Настройка доступа к сервису Apple Push Notification

Для корректной работы веб-службы iOS MDM, а также для обеспечения своевременного реагирования мобильных устройств на команды администратора, в параметрах Сервера iOS MDM следует указать сертификат Apple Push Notification Service (далее APNs-сертификат).

Взаимодействуя с сервисом Apple Push Notification (далее APNs), веб-служба iOS MDM подключается к внешнему адресу api.push.apple.com по порту 2197 (исходящий). Поэтому веб-службе iOS MDM необходимо предоставить доступ к порту TCP 2197 для диапазона адресов 17.0.0.0/8. Со стороны iOS-устройства – доступ к порту TCP 5223 для диапазона адресов 17.0.0.0/8.

Если доступ к APNs со стороны веб-службы iOS MDM предполагается осуществлять через прокси-сервер, то на устройстве с установленным веб-службой iOS MDM необходимо выполнить следующие действия:

1. Прописать в Реестр следующие строки:
   • Для 32-разрядной операционной системы:

   HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Proxy Host Name>" "ApnProxyPort"="<Proxy Port>" "ApnProxyLogin"="<Proxy Login>" "ApnProxyPwd"="<Proxy Password>"

   • Для 64-разрядной операционной системы:

   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Proxy Host Name>" "ApnProxyPort"="<Proxy Port>" "ApnProxyLogin"="<Proxy Login>" "ApnProxyPwd"="<Proxy Password>"

2. Перезапустить веб-службу iOS MDM.

Выписка и установка общего сертификата на мобильное устройство

Чтобы выписать общий сертификат пользователю:

1. В дереве консоли в папке Учетные записи пользователей выберите учетную запись пользователя.
2. В контекстном меню учетной записи пользователя выберите пункт Установить сертификат.

Будет запущен мастер установки сертификата. Следуйте далее указаниям мастера.

В результате работы мастера сертификат будет создан и добавлен в список сертификатов пользователя.

Выписанный сертификат пользователь загружает вместе с установочным пакетом, в котором содержится iOS MDM-профиль.

После подключения мобильного устройства к Серверу iOS MDM на устройстве пользователя будут применены параметры iOS MDM-профиля. Администратор сможет управлять подключенным устройством.

Мобильное устройство пользователя, подключенное к Серверу iOS MDM, отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Добавление KES-устройства в список управляемых устройств

Чтобы добавить KES-устройство пользователя в список управляемых устройств с помощью ссылки на Google Play:

1. В дереве консоли выберите папку Учетные записи пользователей.

   По умолчанию папка Учетные записи пользователей вложена в папку Дополнительно.

2. Выберите учетную запись пользователя, мобильное устройство которого вы хотите добавить в список управляемых устройств.
3. В контекстном меню учетной записи пользователя выберите пункт Добавить мобильное устройство.

   Запустится мастер подключения мобильного устройства. В окне мастера Источник сертификата требуется указать способ создания общего сертификата, с помощью которого Сервер администрирования идентифицирует мобильное устройство. Вы можете задать общий сертификат одним из двух способов:

   • автоматически создать общий сертификат средствами Сервера администрирования и доставить сертификат на устройство;
   • указать файл общего сертификата.
4. В окне мастера Тип устройства выберите вариант Ссылка на Google Play.
5. В окне мастера Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата (с помощью SMS-сообщения, по электронной почте или информация будет отображена после окончания работы мастера).
6. В окне мастера Информация о сертификате нажмите на кнопку Готово для завершения работы мастера.

В результате работы мастера на устройство пользователя будет отправлена ссылка и QR-код для загрузки Kaspersky Endpoint Security для Android с Google Play. Пользователь переходит в магазин приложений Google Play по ссылке или отсканировав QR-код. После этого операционная система устройства запрашивает у пользователя согласие на установку Kaspersky Endpoint Security для Android. После загрузки и установки Kaspersky Endpoint Security для Android мобильное устройство подключается к Серверу администрирования и загружает общий сертификат. После установки сертификата на мобильное устройство это устройство будет отображаться в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Если приложение Kaspersky Endpoint Security для Android уже установлено на устройство, пользователю нужно самостоятельно ввести параметры подключения к Серверу администрирования, получив их у администратора. После настройки параметров подключения мобильное устройство подключается к Серверу администрирования. Администратор выписывает общий сертификат для устройства и отправляет пользователю сообщение электронной почты или SMS с именем пользователя и паролем для загрузки сертификата. Пользователь загружает и устанавливает общий сертификат. После установки сертификата на мобильное устройство это устройство будет отображаться в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли. Повторная загрузка и установка Kaspersky Endpoint Security для Android в этом случае не выполняются.

Подключение KES-устройств к Серверу администрирования

В зависимости от способа подключения устройств к Серверу администрирования существует две схемы развертывания Kaspersky Device Management для iOS для KES-устройств:

• схема развертывания с использованием прямого подключения устройств к Серверу администрирования;
• схема развертывания с использованием обратного прокси-сервера, поддерживающего Kerberos Constrained Delegation.

Прямое подключение устройств к Серверу администрирования

KES-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от способа аутентификации существуют два варианта подключения KES-устройств к Серверу администрирования:

• подключение устройств с использованием пользовательского сертификата;
• подключение устройств без пользовательского сертификата.

Подключение устройства с использованием пользовательского сертификата

При подключении устройства с использованием пользовательского сертификата происходит привязка этого устройства к учетной записи пользователя, для которой средствами Сервера администрирования назначен соответствующий сертификат.

В этом случае будет использована двусторонняя аутентификация SSL (mutual authentication). Как Сервер администрирования, так и устройство будут аутентифицированы с помощью сертификатов.

Подключение устройства без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано ни к одной учетной записи пользователя на Сервере администрирования. Но при получении устройством любого сертификата будет произведена привязка этого устройства к пользователю, которому средствами Сервера администрирования назначен соответствующий сертификат.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация (one-way SSL authentication), при которой только Сервер администрирования аутентифицируется с помощью сертификата. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю аутентификацию SSL (2-way SSL authentication, mutual authentication).

Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием Kerberos Constrained Delegation (KCD) предполагает:

• интеграция с обратным прокси-сервером;
• использование принудительного делегирования Kerberos Constrained Delegation (далее KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее PKI) для использования пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• Тип подключения KES-устройств к обратному прокси-серверу должен быть "two-way SSL authentication", то есть устройство должно подключаться к обратному прокси-серверу по своему пользовательскому сертификату. Для этого в инсталляционный пакет Kaspersky Endpoint Security для Android, который установлен на устройстве, необходимо интегрировать пользовательский сертификат. Этот KES-пакет должен быть создан Сервером администрирования специально для данного устройства (пользователя).
• Вместо серверного сертификата по умолчанию для мобильного протокола следует указать особый (кастомизированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.
  2. В открывшемся окне указать тот же сертификат, что задан на обратном прокси-сервере при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны выписываться доменным Certificate Authority (CA). Следует учесть, если в домене несколько корневых CA, то пользовательские сертификаты должны быть выписаны тем CA, который прописан в публикации на обратном прокси-сервере.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания инсталляционных пакетов и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменным PKI и настроить соответствующий параметр в правилах выписки сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
    3. В разделе Интеграция с PKI настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выпуск мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования поднята на 13292 порте;
• имя устройства с обратного прокси-сервера – firewall.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Указать доменную учетную запись необходимо по следующим причинам:

• Функциональность по управлению KES-устройствами является неотъемлемой частью Сервера администрирования.
• Для правильной работы принудительного делегирования (KCD) принимающая сторона, которой является Сервер администрирования, должна работать под доменной учетной записью.

Service Principal Name для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать Service Principal Name (SPN) для публикации сервиса мобильного протокола на 13292 порту устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования это будет выглядеть следующим образом:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)

Для делегирования трафика нужно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратору нужно выполнить следующие действия:

1. В оснастке Microsoft Management Console "Active Directory Users and Computers" выбрать устройство с установленным обратным прокси-сервером (firewall.mydom.local).
2. В свойствах устройства на закладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
3. В список Services to which this account can present delegated credentials добавить SPN http/kes4mob.mydom.local:13292.

Особый (кастомизированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (кастомизированный) сертификат на FQDN kes4mob.mydom.global и указать его взамен серверного сертификата по умолчанию в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с серверным сертификатом (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (публичные части).

Настройка публикации на обратном прокси-сервере

На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 13292 порт kes4mob.mydom.global, необходимо настроить KCD на SPN http/kes4mob.mydom.local:13292 с использованием серверного сертификата, выписанного для FQND kes4mob.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой точке доступа (13292 порт Сервера администрирования) должен быть один и тот же серверный сертификат.

Использование Google Firebase Cloud Messaging

Для обеспечения своевременного реагирования KES-устройств под управлением Android на команды администратора в свойствах Сервера администрирования следует включить использование сервиса Google Firebase Cloud Messaging (далее FCM).

Чтобы включить использование FCM:

1. В Консоли администрирования выберите узел Управление мобильными устройствами и папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры Google Firebase Cloud Messaging.
4. В полях Идентификатор отправителя и Ключ сервера укажите параметры FCM: SENDER_ID и API Key.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны KES-устройства необходим доступ на порты 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS), 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • либо на все IP из списка "Google ASN 15169".
• Со стороны Сервера администрирования необходим доступ на порт 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • либо на все IP из списка "Google ASN 15169".

В случае если в Консоли администрирования в свойствах Сервера администрирования заданы параметры прокси-сервера (Дополнительно / Параметры доступа к сети Интернет), то они будут использованы для взаимодействия с FCM.

Настройка FCM: получение SENDER_ID, API Key

Для настройки работы с FCM администратор должен выполнить следующие действия:

1. Зарегистрироваться на портале Google.
2. Перейти на портал для разработчиков.
3. Создать новый проект по кнопке Create Project, указать имя проекта и ID проекта.
4. Дождаться создания проекта.

   На первой странице проекта, в верхней части страницы, в поле Project Number указан искомый SENDER_ID.

5. Перейти в раздел APIs & auth / APIs, включить Google Firebase Cloud Messaging for Android.
6. Перейти в раздел APIs & auth / Credentials и нажать на кнопку Create New Key.
7. Нажмите на кнопку Ключ сервера.
8. Если есть, задать ограничения, нажать на кнопку Create.
9. Получить API Key из свойств только что созданного ключа (поле Ключ сервера).

Интеграция с инфраструктурой открытых ключей

Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования.

Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:

• назначить пользователю особый (кастомизированный) сертификат из файла в мастере подключения нового устройства либо в мастере установки сертификатов;
• выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов сертификатов.

Параметры интеграции с PKI доступны в рабочей области папки Управление мобильными устройствами / Сертификаты при переходе по ссылке Интегрировать с инфраструктурой открытых ключей.

Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей

В Консоли администрирования по ссылке Интегрировать с инфраструктурой открытых ключей в рабочей области папки Управление мобильными устройствами / Сертификаты следует задать доменную учетную запись, которая будет использована Сервером администрирования для выписки доменных пользовательских сертификатов посредством доменного CA (далее – учетная запись, под которой производится интеграция с PKI).

Обратите внимание:

• В параметрах интеграции с PKI существует возможность указать шаблон по умолчанию для всех типов сертификатов. Тогда как в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по кнопке Настроить правила выпуска сертификатов) присутствует возможность задать шаблон для каждого типа сертификата отдельно.
• На устройстве с установленным Сервером администрирования в хранилище сертификатов учетной записи, под которой производится интеграция с PKI, должен быть установлен специализированный сертификат Enrollment Agent (EA). Сертификат Enrollment Agent (EA) выписывает администратор доменного CA (Certificate Authority).

Учетная запись, под которой производится интеграция с PKI, должна соответствовать следующим критериям:

• Является доменным пользователем.
• Является локальным администратором устройства с установленным Сервером администрирования, с которого производится интеграция с PKI.
• Обладает правом Вход в качестве службы.
• Под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.

Веб-сервер Kaspersky Security Center

Веб-сервер Kaspersky Security Center (далее Веб-сервер) – это компонент Kaspersky Security Center. Веб-сервер предназначен для публикации автономных инсталляционных пакетов, автономных инсталляционных пакетов для мобильных устройств, iOS MDM-профилей, а также файлов из папки общего доступа.

Созданные iOS MDM-профили и инсталляционные пакеты публикуются на Веб-сервере автоматически и удаляются после первой загрузки. Администратор может передать сформированную ссылку пользователю любым удобным способом, например, по электронной почте.

По полученной ссылке пользователь может загрузить на мобильное устройство предназначенную для него информацию.

Настройка Веб-сервера

Для тонкой настройки Веб-сервера в свойствах Веб-сервера Консоли администрирования предусмотрена возможность смены портов для протоколов HTTP (8060) и HTTPS (8061). Также, помимо смены портов, возможна смена серверного сертификата для HTTPS-протокола и смена FQDN-имени веб-сервера для HTTP-протокола.